暗网论坛分析背景

公开互联网和Tor洋葱网络的犯罪论坛是威胁情报研究的重要资源。Sophos反威胁部门(CTU)虽有专门团队收集暗网情报，但人工筛选海量帖子效率低下且易遗漏关键信息。

研究方法创新

研究团队融合了犯罪学家Martin Bouchard的框架（原用于区分大麻产业中的职业罪犯与业余者）与社交网络分析技术。通过Flare威胁搜索引擎，他们采集了2015-2023年间124个犯罪论坛的11,558条帖子（涉及4,441名用户和6,232个CVE漏洞），构建了连接攻击模式(CAPEC)与发帖者的双模网络。经数据清洗后，最终分析对象缩减至2,321名行为者和263个CAPEC。

关键技术实现

1. 莱顿社区检测算法：将行为者按攻击模式兴趣聚类为8个"兴趣社区"，平均每个行为者关联13个CAPEC
2. 专家识别三维度：
   • 技能值：基于MITRE对CAPEC的技术难度评级（低/中/高），取70百分位值防止低估
   • 专注度：计算目标CAPEC相关帖子占总发帖量的比例（过滤发帖≤3次的用户）
   • 活跃率：新增指标，发现高技能者因论坛驻留时间长反而呈现低活跃特征

核心发现

通过K-means聚类分析359名候选者后，仅14人被判定为"职业专家"（占比3.9%）。这些专家具有：

• 90.37%的高专注度
• 平均每3-4天发布1次技术内容
• 技能值集中在MITRE定义的"高危"攻击模式

应用前景

该方法可帮助威胁情报团队减少主观偏差，Sophos CTU已着手将成果应用于现有人工研究流程的优化。研究局限性主要源于对MITRE CAPEC/CVE映射关系的依赖。